Re: Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych?

eGospodarka.pl › Grupy › pl.comp.programming › Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych? › Re: Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic polaczenie przed podmiana danych?

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
s.nask.pl!news.nask.org.pl!news.unit0.net!news.mixmin.net!not-for-mail
From: proglem <c...@s...net>
Newsgroups: pl.comp.programming
Subject: Re: Aplikacja pod Win32/Linux i <-> zdalna baza lub PHP API. Jak chronic
polaczenie przed podmiana danych?
Date: Thu, 11 Feb 2010 20:16:03 +0000 (UTC)
Organization: opRWTng
Message-ID: <hl1ohu$2v6$1@news.mixmin.net>
References: <hl0u7b$7q9$1@atlantis.news.neostrada.pl>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 11 Feb 2010 20:16:03 +0000 (UTC)
Injection-Info: news.mixmin.net; posting-host="24abbcdff62b13e689a999f29f0139bc";
logging-data="3046"; mail-complaints-to="a...@m...net"
Xref: news-archive.icm.edu.pl pl.comp.programming:184796
[ ukryj nagłówki ]
"WRonX" rozwiązał/a/o:
> Mam taka zagwozdke teoretyczna. Zalozmy, ze chce napisac aplikacje,
> ktora bedzie robila COS. Dla uproszczenia wywodu zalozmy, ze bedzie to
> jakas minigra. Calosc "gry" musi odbywac sie na maszynie lokalnej,
> wlacznie z liczeniem "punktow".
>
> W dowolnym momencie aplikacja ma miec mozliwosc aktualizacji ogolnej
> ilosci punktow zdobytych przez danego "gracza" (uzytkownika) przez
> wyslanie informacji o nowych punktach do serwera. Najlepiej przez
> wywolanie zdalnego skryptu PHP, ktory by te baze aktualizowal.
>
> No i teraz pytanie - jak zabezpieczyc sie przed nieuczciwymi graczami,
> ktorzy chcieliby sobie podmienic wysylana do serwera liczbe punktow?
>
> Zakladam, ze gracze nie beda dekompilowali aplikacji, bo jesli beda, to
> chyba nic nie pomoze :) Ale moga miec chyba dosyc latwy podglad tego, co
> aplikacja odbiera i wysyla (WireShark i wszystko jasne). Wiec nie moze
> to byc po prostu proste
> GET http://mojserwer/skrypt.php?uzytkownik=XYZ&dodaj_pun
kty=1234
>
> Czy przychodzi Wam do glowy jakiekolwiek sensowne rozwiazanie?
>
> Myslalem o tym, ze w momencie uruchomienia aplikacja moglaby sie laczyc
> z serwerem i odbierac jakis unikatowy ID, ktory pozniej by przetwarzala
> (zakladamy brak dekompilacji) np. algorytmem kodujacym wynik, gdzie
> kluczem kodowania bylby ten ID... ale to chyba troche za bardzo
> zamotane.
>
> Oczywiscie przesylanie punktow przez polaczenie z baza (osobne konto dla
> dodawania punktow, aby baza byla bezpieczna) jest tak samo narazone na
> ingerencje, wiec pozwole sobie pozostac chwilowo przy opcji PHP, chyba
> ze macie argumenty :)
kierunek próby zabezpieczenia zależy od przyjętej strategii postępowa-
nia:
?czy ma być tylko zabezpieczenie prawdziwości danych bez ich ukrywania
?czy ma być tylko ukrywanie danych z ufaniem ich prawdziwości.
a które z powyższych zależy również od postępowania w przypadku wykrycia
oszustwa; na pewno znajdzie się ktoś kto wykorzysta wszystkie dostępne
możliwości oszukania serwera, jeśli będzie tego potrzebować.
--
qo |) CPL<=dataDPL CPL==/>=codeDPL:conform'/nc';max=CPL! AV0ID bHp
_x/ , CPL<=TSS,gateDPL CPL>=/==dest_DPL:/(jmp&nc') ,RPL!- #GP -o0o
| ng __ -- __ -- __ -- __ -- __ -- __ -- __ -- __ -x86-, EV3RY o0o
,__ -- __ -- Current/Requested/DescriptorPrivilegeLevel C/R/DPL , d4y m:#=